问题描述
华为防火墙主备部署,深信服AD主备部署,两者口字型连接,在业务运行过程中,业务AD主备切换后华为FW未与AD联动进行主备切换。
排查思路
AD、FW互相判断链路中断是基于ping测试互连链路连通性,ping测试时基于定义好的时间周期内对方是否有回应报文。在抓包中发现:
1.当FW认为链路中断时,AD任务链路未中断,未进行主备切换,经仔细研究发现:两厂商的ping检测机制不一致。
华为FW:连续发出定量的ping包,看对端是否有回应报文;
深信服AD:类似并行,t1发ping包,间隔t时间后发t2时刻的ping包;
--->两厂商ping互测时存在检测空隙,可能ping探测失败。
2.华为FW 针对ping探测包的回应不及时:华为FW对数据流进行了分类,业务流最优先,类似ping报文优先级底,只有一核CPU处理,当
业务数据流大的时候,可能存在对ping包回应不及时的问题。
解决办法
1.针对深信服AD ping包探测方式,将华为FW icmp快回功能打开,及时回应深信服AD的ping探测报文。命令
icmp echo-reply fast enable
内容来源于网络如有侵权请私信删除
文章来源: 博客园
- 还没有人评论,欢迎说说您的想法!
客服
